Korben, roi d’internet, logo bébé avec des lunettes en mode thug life Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Korben Upgrade your mind

⚡ GDPR / RGPD ⚡ – Le réglement européen qui va protéger les internautes, et donner du boulot de mise en conformité aux entreprises

Je ne sais pas si vous suivez un peu ce qui se passe au niveau européen en matière de protection des données personnelles, mais le 27 avril dernier, après 4 ans de négociations tendues, l’Europe a voté le RGPD (pour « Règlement général sur la protection des données » ou en anglais : General Data Protection Regulation, GDPR)

La RGPD doit permettre d’harmoniser le droit de la protection des données personnelles au sein de l’Union européenne et de moderniser ses principes à l’ère numérique. Dit comme ça c’est pas passionnant mais vous allez voir, ce texte est très important.

En effet, cela va obliger toutes les entreprises européennes à adapter leurs outils et leurs procédures avant l’application du texte le 25 mai 2018.

En quoi ça consiste ?

Et bien comme cela va permettre de redonner aux citoyens le contrôle de leurs données personnelles (youpi !!), il faut, entre autres choses, que le consentement de l’internaute ne soit jamais implicite ou général.

Et évidemment, comme on sait très bien que certaines entreprises ne joueront pas le jeu, tous les acteurs du privé et du public vont donc devoir PROUVER la conformité légale des traitements de données personnelles mis en oeuvre chez eux.

Cela veut dire que la société que vous dirigez ou pour laquelle vous travaillez va devoir tracer et documenter le consentement des internautes, ainsi que l’autorisation d’accès, de rectification, de suppression et d’opposition à ces données personnelles. Sans oublier les nouveaux droits qui sont créés pour l’occasion tels que le droit de portabilité des données ou un droit offrant des limites dans le traitement de celles-ci.

L’article 32 du RGPD sur la sécurité des traitements de données précise les différents critères que les sociétés doivent prendre en compte pour déterminer le niveau de sécurité à adopter. Par exemple: l’état de l’art, les coûts de mise en œuvre de la sécurité, le traitement concerné y compris sa finalité et son contexte, et la probabilité et la gravité des risques pour les droits et libertés des personnes.

La logique consiste à adapter les mesures de sécurité aux risques identifiés pour les traitements de données personnelles.

Attention, grosse innovation, le RGPD prévoit aussi l’évaluation des risques sur la vie privée présentés par le traitement de données. Il incombe alors aux sociétés de réaliser une étude d’analyse d’impact pour tous les traitements de données susceptibles de générer un risque élevé sur la vie privée des personnes concernées.

Selon le RGPD, certains traitements de données sont considérés comme risqués et soumis à une étude d’analyse d’impact, du fait de la nature des données traitées (traitement à grande échelle de données sensibles ou pénales) ou de leur finalité (profilage, surveillance à grande échelle de zones accessibles au public …).

S’agissant des garanties à mettre en place, l’article 32 énumère certaines mesures susceptibles d’être utilisées par les sociétés tels que :

  • le recours à la pseudonymisation
  • le chiffrement des données
  • l’adoption de moyens permettant de garantir la confidentialité
  • l’intégrité, la disponibilité et la résilience des systèmes
  • l’adoption de moyens permettant de rétablir la disponibilité et l’accès aux données personnelles en cas d’incident technique ou physique
  • la vérification régulière des mesures

Les codes de bonne conduite et les certifications mentionnés dans le RGPD sont des solutions également susceptibles d’être envisagées en ce qui concerne la sécurité.

Et lorsque la fameuse étude d’analyse d’impact révèle un niveau de risque élevé il est obligatoire de consulter la CNIL avant la mise en œuvre du traitement de données concerné. Cela implique notamment que les mesures dédiées à la sécurité du traitement doivent être communiquées à la CNIL qui décide ensuite si elles sont suffisantes afin de valider ou non le traitement.

Toujours selon ce texte, la sécurité des données impose aussi aux entreprises de notifier à la CNIL toutes violations de données personnelles dans la limite de 72 heures après en avoir eu connaissance dans un premier temps. Mais aussi à la personne concernée en cas de mesures de sécurité jugées insuffisantes par la CNIL.

Cette obligation est étendue aux sous-traitants qui doivent notifier aux sociétés, les violations de données dès qu’ils en ont connaissance. Ces violations de données sont généralement la conséquence d’un ou de plusieurs incidents de sécurité (ex : introduction frauduleuse dans le SI, extraction, reproduction ou diffusion de données).

Et si on décide de ne rien faire ?

Et bien, PAF, sanction ! C’est la CNIL qui s’en chargera en France, distribuant de jolies amendes allant jusqu’à 4% du chiffre d’affaires mondial de l’entreprise ou 20 millions d’euros max. Pour les autres violations des obligations prévues par le RGPD, les sanctions pourront aller jusqu’à 2% du chiffre d’affaire mondial ou 10 millions d’euros max.

Bon OK alors faut faire quoi ?

Vous l’aurez compris, en plus d’offrir à l’internaute un haut niveau de sérénité concernant ses données personnelles, la détection des incidents et leur rectification en amont permettent d’éviter la notification puisqu’il n’y a pas de violation.

Cette nouvelle réglementation impose l’établissement d’un état des lieux des traitements de données mis en œuvre au sein de la société, ce qui permettra notamment de déterminer les priorités pour la mise en conformité ainsi que son accompagnement.

Je vais donc prêcher pour ma paroisse, mais sur le plan de la sécurité, l’introduction de la pratique du Bug Bounty me semble vivement recommandée afin de détecter les incidents de sécurité en amont, et donc de les prévenir en corrigeant les failles découvertes.

Voilà pour le petit topo sur le GDPR, j’espère que ça vous a plu. Si vous voulez plus d’infos, le texte officiel est disponible ici en PDF.

Merci beaucoup à Eric A. Caprioli, Avocat à la Cour, Docteur en droit, membre de la délégation française aux Nations Unies et à Isabelle Cantero, Avocat associé (Caprioli & Associés), responsable du Pôle Vie privée et données personnelles pour leur aide dans la rédaction de cet article.


Salcar Disque Dur SSD Boîtier 2,5 Pouces USB 3.0

46% de réduction

Convient pour tous disques durs ou SSD 2,5 pouces SATA I / II / III
Super Speed USB 3.0 taux de jusqu’à 5 GPS de transfert 70 % plus rapide que l’USB 3.0 classique pour SSD
Voyant diode indique le différent mode de transmission: lumière blanche: USB 2.0 ; lumière bleue : USB 3.0
Plug & play hot-swap pas besoin d’installation du pilote Faible consommation d’énergie Auto-dormance outil libre
Systèmes d’exploitation compatibles: Windows XP / Vista / 7/8 / 8.1 / 10, Mac OS 9.0 et supérieur

Voir la promo



Réponses notables

  1. Maxel says:

    Petit souci sur le titre de l’article, c’est GDPR et non GPDR :slight_smile:

  2. C’est marrant tout ce qui est cité fait déjà partie des contraintes HADS (hébergement de données de santé) que je pratique tous les jours pour l’hébergement de nos clients, donc si on doit étendre ça sur d’autres types d’hébergements ça sera pas trop dur :wink:

  3. bliz says:

    Mouai,

    bon c’est deja ca en plus mais ce n’est pas gagné!

    Combien de poursuites on ete engagées par la CNIL, combien d’enquetes ect… Pas énormément. Juste assez pour montrer que la CNIL existe encore au mieux.

    Ensuite si un citoyen qui vote paye des impôts déclare tout comme il faut ect va porter plainte contre une grosse entreprise a cause d’un ou de plusieurs piratages avérés (a tout hasard sony/yahoo/sncf…), rien ne le soutien ou ne le protège, on va essayer de le dissuader, lui rire au nez ou même limite le “menacer”.

    Le pire dans tout ca, c’est que même si tu est vraiment victime d’un abus de données, que tu gagne, a moins d’avoir subis un gros préjudice tu va perdre énormément de temps et d’argent… Il faudrait que tout soit pris en charge par le perdant et que le temps (smic horaire ttc minimum) et les frais hotel/resto/transport que tu a engagé tout au long de l’instruction juridique soient pris en charge de manière obligatoire par le perdant pour vraiment les faire bouger.

Continuer la discussion sur Korben Communauté

Participants


Vous connaissez sans doute VMware pour ses solutions de virtualisation notamment en mantière de serveurs. A l’heure où de plus en plus de données sont créées et traitées à l’extérieur de tout datacenter centralisé, grâce à une stratégie multi-cloud, le spécialiste de la virtualisation est devenu un acteur impossible à manquer.


Vous connaissez sans doute VMware pour ses solutions de virtualisation notamment en mantière de serveurs. A l’heure où de plus en plus de données sont créées et traitées à l’extérieur de tout datacenter centralisé, grâce à une stratégie multi-cloud, le spécialiste de la virtualisation est devenu un acteur impossible à manquer.